Het College Bescherming Persoonsgegevens trekt een te grote broek aan, vinden deelnemers uit het bedrijfsleven aan het 9e Nationale Privacysymposium in het bedrijfsleven. Maar de laatste groep is even niet het doelwit: naar verwachting zal begin 2004 de eerste overheidsdienst een bestuurlijke boete van het CBP krijgen.
Concerns die veel met consumenten communiceren, hebben privacyfunctionarissen in dienst, zoals KPN, TPG, Wegener, ING en Ahold. Hij/zij tast de grenzen van de wet af teneinde het klantcontact legaal te houden. Hun waakhond: het College Bescherming Persoonsgegevens.
Het CBP floreert, zo vertelde zijn chef Peter Hustinx aan marketeers en privacyfunctionarissen tijdens het privacysymposium 2003 afgelopen week in Amsterdam. Zelf zit 'koning privacy' ook gebeiteld. Hustinx liep weliswaar een Europese aanstelling mis, maar in Den Haag is zijn aanstelling verlengd om nog zes jaar de lakens uit te delen.
|
Direct marketing is levenslang
Bedrijven zijn in principe verplicht een adres te schrappen als een klant hierom vraagt. Desgewenst moeten alle gegevens gewist worden, maar direct marketeers doen dit echter zelden: ze zetten een naam liever op een 'blokkeringslijst'. De klant krijgt dan geen e-mail, post of telefoontjes van de onderneming, maar zijn gegevens zijn niet verwijderd. Wie namelijk zijn naam laat verwijderen, loopt de kans binnen afzienbare tijd toch weer reclame te krijgen van de onderneming. Dit komt omdat ondernemingen regelmatig nieuwe adresbestanden kopen. Als een onderneming alle gegevens verwijderd heeft van een persoon, kunnen ze dus ook niet bijhouden wie geen post of e-mail wil. Bedrijven kunnen de blokkeringslijst nog op een andere manier gebruiken: het staat een onderneming vrij om die personen in marktonderzoek te betrekken. Regels die marktonderzoek of databaseanalyse verbieden op verzoek van de geregistreerde zijn er namelijk niet. "Gooi het kind niet met het badwater weg, bedrijven wissen soms te veel gegevens", aldus een tip tijdens het privacysymposium. Internetbedrijven krijgen de tip nooit in hun privacybeleid op te nemen dat de adresgegevens "nimmer aan derden zullen worden verkocht". Bij een nakend faillissement levert dit namelijk problemen op als het bestand verkocht moet worden door de curator. Het klantenbestand is naast de kantoorinboedel vaak het enige dat nog iets waard is bij een internetbedrijf. Curatoren kunnen het bestand zo nooit verkopen. |
Boetes uitdelen
"Er lopen nu een paar honderd onderzoeken. Begin 2004 delen we eerste bestuurlijke boetes uit." Een hint van Hustinx waar de 'prijs' zal vallen: "Het is opvallend hoe negatief de publieke sector en gemeenten eruit springen." Hustinx wil het niet nader preciseren, maar het zou kunnen gaan om fraudeteams van sociale diensten: "Het gaat dan om heimelijke waarneming en het doorgeven van strafrechtelijk gevorderde gegevens voor derden."
Behalve tot het uitdelen van boetes is het CBP ook bevoegd om, in het kader van het toezicht op de privacywetgeving en persoonsregistraties, huiszoekingen te laten verrichten - de zogeheten 'bestuursdwang' of 'last onder dwang'. Hustinx: "Last onder dwang hebben we al een paar keer gebruikt om gegevens boven tafel te krijgen. Wij zijn zeker niet voor het schandpaaleffect, maar het blijkt dat het melden van een overtreding bij bijvoorbeeld een A-merk-bedrijf, zeker met een beursnotering, impact heeft."
Handjevol klachten
Een aantal deelnemers uit het bedrijfsleven bevestigt dit tegenover Netkwesties. Ze noemen het CBP betuttelend tot zelfs onzorgvuldig. Een lid van direct-marketingclub DDMA, overdag werkzaam bij een beursgenoteerde onderneming, wil er iets over zeggen. Hij claimt anonimiteit, net als zijn eveneens mopperende collega's: "Wat het CBP doet, is niet zelden zorgwekkend. Neem de ING-mailing die niet door mocht gaan. Het college moet zich niet met details bemoeien. De nadruk komt te veel op de bescherming van het individu te liggen, waardoor het CBP een boemerangeffect oproept. Alsof grote ondernemingen echt miljoenen klanten willen bruuskeren door zomaar wat te versturen."
ING wilde miljoenen klanten aanschrijven, maar dit werd teruggedraaid door het CBP: de opmerkingen in de folder over de privacyvoorwaarden waren niet duidelijk genoeg. "Een groot bedrijf als ING heeft miljoenen klanten, met allemaal verschillende opleidingsniveaus. Er zullen altijd een paar mensen zijn die er niets van snappen. ING. Het is vaak gebruikelijk dergelijke grote mailings aan een panel voor te leggen om te zien of de boodschap duidelijk en begrijpelijk is."
Een mailing bij een dergelijk groot bedrijf is vaak een maandenlang proces waar allerlei partijen betrokken zijn. Zoiets stilleggen kost enorm veel geld.
"Ook al is er nog geen mailing de deur uit, er zijn misschien al tonnen uitgegeven. En waar doe je het voor? In de afgelopen twee jaar heb ik slechts eenmaal een verzoek op inzage gekregen en hooguit drie klachten, op miljoenen mailings. Voor dat verwaarloosbare aantal klachten, voor dat handjevol mensen houdt het CBP toezicht." Het bedrijfsleven neemt de privacywetgeving serieus, zo blijkt uit reacties van de deelnemers aan het congres. Ze vragen zich echter hardop af of de klant het zelf allemaal zo belangrijk vindt. Het aantal klachten is miniem, zelfs bij grote ondernemingen
Volgens een andere functionaris moet het accent op fatsoenlijk gebruik liggen: "De oorspronkelijke bedoeling van Europese richtlijnen was ook vrij gegevensverkeer tussen bedrijven in Europa, maar het accent is geheel verschoven naar consumentenbescherming. Dat was de opzet helemaal niet en het wordt alleen maar erger. Die oorspronkelijke bedoeling lijkt steeds meer op de achtergrond te raken."
Spammen en misverstanden
Een derde, die de vrijheid van meningsuiting ook anoniem hanteert uit vrees voor zakelijke gevolgen: "De Viagra-mailers zullen altijd blijven bestaan, vrees ik, maar dat heeft niets te maken met wat wij doen. Dat is het misverstand, en dat geldt ook voor opt-in. Het publiek denkt nooit meer e-mail van Nederlandse bedrijven te zullen ontvangen, maar met een bestaande relatie met een klant mag je hem ook zonder toestemming aanschrijven."
|
Beperkte afmelding
Elke consument heeft het recht op inzage in de geregistreerde gegevens en elke consument mag van een bedrijf eisen om daarvan geen post, e-mail, telefoontjes of sms-berichten te ontvangen. Consumenten maken hier echter maar beperkt gebruik van. |
Grenzen aftasten
De angst voor het CBP speelt in de afwegingen zeker zo'n grote rol als de wetgeving, constateerd een deelnemer: "De uitvoering van de regels is allerminst transparant. De willekeur die ook wordt veroorzaakt door de complexiteit van de regels, kan ertoe leiden dat ik de directie positief adviseer inzake een campagne, maar dat toch je bedrijfsnaam in een persbericht op de website van het CBP verschijnt. En dan is de schade al aangericht."
Maar het bedrijfsleven mag soms ook de hand in eigen boezem steken. Zeker kleinere organisaties ontberen de kennis. Daar leeft Alexander Singewald, organisator van de privacyconferentie, al jaren van. Deze week richtte een aantal gelijkgestemde privacy-adviseurs de Nederlandse Orde van Privacy Adviseurs (Nopa) op. "We zijn een beroepsgroep, geen actiegroep. Vergelijk ons liever met de Nivra, dan met Bits of Freedom.
[Ambroos Wiegers, 27 november 2003]
Warning: include() [function.include]: open_basedir restriction in effect. File(/home/sites/www.netkwesties.nl/web/templates/artikel_kolomscheider.php) is not within the allowed path(s): (/home/netkwestie/:/tmp:/usr/local/lib/php/) in /home/netkwestie/domains/netkwesties.nl/public_html/editie74/artikel2.php on line 102
Warning: include(/home/sites/www.netkwesties.nl/web/templates/artikel_kolomscheider.php) [function.include]: failed to open stream: Operation not permitted in /home/netkwestie/domains/netkwesties.nl/public_html/editie74/artikel2.php on line 102
Warning: include() [function.include]: Failed opening '/home/sites/www.netkwesties.nl/web/templates/artikel_kolomscheider.php' for inclusion (include_path='.:/usr/local/lib/php') in /home/netkwestie/domains/netkwesties.nl/public_html/editie74/artikel2.php on line 102